LastPass hackad: Här är vad du behöver göra

Vi hade älskat LastPass så mycket att vi faktiskt hade kallat det Den bästa lösenordshanteraren. Så när berättelsen om hacket bröt ut för ett tag sedan var vi alla i ett tillstånd av chock. Men betyder det att alla borde lämna LastPass och använda något annat? Är dina lösenord säkra i molnet? Kan vi lita på företaget igen? Det är vad vi försöker ta reda på.

Få inte panik

Det behöver inte sägas att detta är det första som måste göras. Panik, eller ännu värre, spridning av falsk information via vilket medium som helst, är helt enkelt inte det rätta sättet att reagera på någon kris. Även om det är naturligt att känna sig rädd när du läser en nyhet som denna, måste du inse att onödig panik helt enkelt inte tjänar något syfte. I deras blogginlägg, LastPass har gjort det klart, och jag citerar,

I vår undersökning har vi inte hittat några bevis för att krypterad användarvalvdata togs eller att LastPass-användarkonton hade åtkomst.

Ja, det fortsätter med att säga det

Undersökningen har dock visat att LastPass-kontots e-postadresser, lösenordspåminnelser, server-per-användarsalter och autentiseringshashar äventyrades.

Men, Vad betyder detta, frågar du? Enkelt uttryckt betyder det att även om alla dina lösenord är säkra, kanske annan information inte är det. För vilket, återigen, blogginlägget redan har angett några användbara tips.

Ja, data från lösenordshanterare lagras i molnet, men informationen krypteras direkt på din dator. Och även om cloud computing-arkitekturen innebär en liten risk, kan du fortfarande vara lugn och veta att all krypterad data aldrig lagras där. Vilket innefattar Allt dina lösenord.

Användbart tips: Kolla in vår Ultimat guide om lösenord att veta allt om att skapa och hantera lösenord på internet.

Förebyggande är alltid bättre än att bota

Detta gamla ordspråk kan aldrig vara mer relevant än i dessa tider av internetsnokning och förlust av integritet. Här är några steg som du bör följa när det kommer till ditt LastPass-konto, för att säkerställa att du inte förlorar sömnen över sådana incidenter.

Ändra huvudlösenordet

För att ändra huvudlösenordet för LastPass, klicka bara på Inställningar, där du hittar avsnittet Kontoinställningar till vänster. Genom att klicka på det får du möjlighet att Klicka här för att starta kontoinställningar enligt nedanstående.

Genom att klicka på det öppnas en ny flik, där allt du behöver göra är att trycka på Ändra huvudlösenord knappen och välj ett nyare (och starkare) alternativ.

Det är det, det viktigaste steget du bör göra efter att denna incident är klar!

2-faktorsautentisering och andra säkerhetsalternativ

Vi känner att det är en bra idé att använd 2-faktorsautentisering där det är möjligt, och särskilt på platser där känslig information lagras. LastPass är helt korrekt i att föreslå användning av denna tjänst och vi anser att du bör göra detta omedelbart efter att ha ändrat ditt huvudlösenord. I själva verket, medan du håller på, överväg att lägga till 2-stegs autentiseringsfaktorn till alla tjänster du använder som innehåller känsliga uppgifter.

I LastPass hittar du Multifaktoralternativ i Kontoinställningar (se ovan). Det är här du hittar alternativ för att ytterligare säkra ditt LastPass-konto. Du kommer också att se Alternativ för Grid Authentication som vi har skrivit om tidigare.

Landsbaserad begränsning

Ett annat säkerhetslager som LastPass kräver för sina användare att utforska är den landsbaserade begränsningspolicyn. När det har aktiverats kommer detta endast att göra det möjligt för enheter som kommer från ditt hemland att komma åt dina LastPass-data. Om en enhet från något annat land försöker komma åt den kommer de att visa ett felmeddelande. Vi har behandlade detta mycket i detalj och du borde definitivt läsa den, om du inte redan har gjort det.

Fortfarande orolig?

Var inte det. Det finns inget mer att göra här. LastPass har redan uppdaterat sin säkerhet och uppmanar redan användare att verifieras via e-post, om de använder en ny enhet eller en ny IP. För att verifiera detta försökte vi just det och var glada att kunna rapportera att det här steget fungerar precis som annonserat.

Befintliga användare uppmanas också att ändra sitt huvudlösenord, men även om du inte får den uppmaningen uppmanar vi dig att göra det ändå. Slutligen vill vi citera Jeremi Gosney (en expert på lösenordssäkerhet på Strukturgrupp) som pratade med Ars Technica om hacket –

På en NVIDIA GTX Titan X, som för närvarande är den snabbaste grafikprocessorn för lösenordsknäckning, skulle en angripare bara kunna göra färre än 10 000 gissningar per sekund för en enda lösenordshash. Det är rätt långsamt! Även svaga lösenord är ganska säkra med den skyddsnivån (såvida du inte använder en absurt svag lösenord.) Och detta tar inte ens hänsyn till antalet iterationer på klientsidan, vilket är användarkonfigurerbar. Standard är 5 000 iterationer, så som ett minimum tittar vi på 105 000 iterationer. Jag har faktiskt min inställd på 65 000 iterationer, så det är totalt 165 000 iterationer som skyddar min Diceware-lösenfras. Så nej, jag svettas definitivt inte över detta brott. Jag känner mig inte ens tvungen att ändra mitt huvudlösenord.

Faktum är att en hel del medlemmar i vårt eget team använder verktyget och vi har gjort exakt samma saker som vi har sagt ovan. Och nu vill vi sprida kunskapen till så många som möjligt.

Vill du prova alternativ?

Okej, om du känner att du har tappat tron ​​på LastPass på grund av allt detta, så finns det naturligtvis alltid alternativ. Om du är villig att investera lite pengar (och en del av den förlorade tron) så finns det alltid 1Lösenord. Det är samma arkitektur och säkerhetsåtgärder som gäller, men Agilebits, företaget bakom 1Password, har en bättre meritlista än LastPass. Med det menar vi att det aldrig har blivit hackat. Har inte rapporterats, för att vara mer exakt. Än.

Överför dina lösenord i iOS: Det är enkelt att överföra dina data från LastPass till 1Password för iOS, när du läst vår hjälpsamma artikel om det.

Om du inte är villig att spendera något, så finns det ett gratis alternativ. Det heter KeepPass och det är också öppen källkod. Och vi har också skrivit en guide för att överföra dina LastPass-lösenord till Keepass.

Även om det inte är lika bekvämt som 1Password, om du är villig att leka, kan några plugins läggas till för att matcha funktionaliteten hos dess betalda peer. Det kräver lite tålamod, men var beredd.

Våra 2 cent

Det är väldigt lätt att skylla på ett företag och säga att de inte var försiktiga med dina uppgifter. Men det är lika bra som att skylla på banker när det sker ett rån. Folk har inte slutat lägga sina pengar där och du bör inte heller sluta lita på lösenordshanterare, bara för att en hackades.

Vi säger inte ens att säkerheten var slapp från LastPass sida, men de måste definitivt dra upp sina strumpor. Det var inte första gången a hot upptäcktes i deras system, men båda gångerna stals/försvann inget större. De agerade snabbt och omedelbart meddelade användare och har redan tagit itu med säkerhetsproblemet som ledde till detta. Med lite mer försiktighet själv kan du säkerställa ett mycket gladare sinnestillstånd. Om du kan spendera all den tiden på att tänka på ditt banksaldo, är vi säkra på att du kan spara några tankar på lösenorden som håller dem säkra också?